1、企业信息平安管理问题研究 摘 要自上世纪末国家大力促进企业信息化建设,鼓励企业利用信息化技术改善自身经营活动和企业管理。信息化的点点滴滴已经渗透进企业日常生产经营的各个角落。信息平安已经成为促进企业自身开展壮大的条件之一,谁能抓住时代的脉搏在新的技术条件下将信息平安与企业管理高效融合.为企业走可持续化开展道路保驾护航,谁就抓住了企业生存与开展的主动权,从而在知识经济和信息化高速开展的当前,长远生存开展壮大。随着互联网络不断深入到生产生活的各个方面,改变了传统的生产模式,对促进生产力的提高发挥着重要的作用。网络平安也已成为维持日常经营活动正常开展的前提。网络平安不仅仅是一个技术问题,同时也是一个
2、管理问题。平安管理是企业管理中第一位的管理。企业平安管理,就是要消除平安隐患,使平安事故消除在萌芽状态中。对于企业开展而言,管理信息平安是十分重要的问题。因此分析网络环境下信息平安管理中所存在的问题,并提出适当的对策。关键词:企业管理;网络平安;信息平安管理一、绪论(一)研究背景和意义1.研究背景进入二十一世纪的今天,随着社会、经济和科学技术的飞速开展,计算机网络在经济和生活的各个领域迅速普及。众多企业为了提高办事效率和市场反响能力,也都纷纷依靠IT技术构建企业自身的信息系统和业务运营平台。在网络环境下,企业获得了信息共享、信息交流、信息效劳,改善了企业管理水平,提高了劳动生产率,增强了企业的
3、核心竞争力。然而,网络是把双刃剑。在带给企业机遇与便利的同时,网络环境固有的开放性、交互性、共享性和分散性,也造成了企业信息系统具有致命的脆弱性、易受攻击性,一旦企业网络遭到攻击,企业信息泄露,甚至被人意改,就会给企业带来不可估量的损失。因而,研究与防范网络环境下企业信息平安问题已迫在眉睫。在网络越来越普及的当今社会,人们不管是生活当中亦或是工作当中都越来越依赖网络。勒索病毒事件,可以说是最具代表性的年度平安事件。事件中,黑客利用漏洞作为攻击工具,将勒索病毒通过漏洞传播,对用户数据加密以实现敲诈,并利用比特币支付等匿名互联网技术躲避溯源跟踪,展现出了一种极为高效的变现模式。在过去的2023年,
4、网络平安进入全新的“大平安时代。2023年9月12日,网络平安领域顶级峰会第五届中国互联网平安大会(ISC2023)在北京国家会议中心盛大开幕,本次大会的主题为“万物皆变,人是平安的尺度。在大会开幕式上,中国互联网平安领域领军人物、360公司董事长周鸿祎发表主旨演讲,周鸿祎表示,“我们正处于一个大平安时代。网络平安已经不仅仅是网络本身的平安,更是国家平安、社会平安、根底设施平安、城市平安、人身平安等更广泛意义上的平安。周鸿祎指出,随着物联网、车联网和工业互联网的开展,这些行业开始成为网络攻击的目标,去年10月的美国互联网断网事件就是由恶意软件控制了近百万摄像头组成的僵尸网络,攻击美国的DNS解
5、析效劳商造成的。另外在物联网、车联网和工业互联网中开始使用一些人工智能技术,使用人工智能技术开展无人化的系统,这些无人系统一旦被劫持,将带来更多、更严重的平安问题。如今全球化在逐渐信息化、网络普及,对人们的生活有着深远的影响,渗透至人们的生活工作当中。随之而来便是对于网络环境的各种信息平安的问题,人们不管是在 上亦或是平板、等电子设备上存储的个人信息越来越注重隐私和保密,尤其随着 在线支付的普及一旦 被盗取可能自身的资金财产都会受到影响。在企业中运用网络促进开展时,容易出现企业内部信息泄露的状况,这种情况一旦发生对于企业而言会造成严重的影响,更甚者对企业的生存产生威胁。企业内部也如此,假设出现
6、网络平安问题,会影响到网络环境的健康以及正常运转。所以对平安管理越来越重视,设置相应的防范措施也是十分必要不可或缺的。社会趋向于网络化能够让所有事散布的更快,信息共享的更快,既方便又便捷。在企业中利用网络在这一方面的优势能够发挥十分重要有效的作用,帮助企业更快的开展,更良好的管理信息管理企业内部。但有好的一面必然有其缺陷,网络技术当中有一个十分棘手的问题,那便是平安隐患。本文主要研究如何就平安隐患方面提出适合可行的防范对策以此解决这一问题。中石化也正是看到了这一点,在近几年加快了信息化建设的步伐。网络也在不断调整和优化,几乎每个加油站网点都被纳入公司局域网之内;而且陆续投入使用了ERP系统、V
7、20系统、视频监控系统、加油卡系统等。这些系统的推广和使用对提高中国石化的生产、经营和管理水平发挥了很大的作用。随着中石化信息化不断深入,中石化网络信息平安管理架构的形成,既是企业业务需求形成的结果,也是网络平安领域向全方位、纵深化、专业化方向开展的结果,无论从经济效益还是社会影响考虑,我们都应该重视我们企业的网络信息平安管理及系统建设情况。2.研究意义有利于网络信息平安技术开展日益科学化,网络信息平安技术逐步的科学化还是一个较为漫长的过程,会在整个网络开展的过程当中存在。要想让网络信息平安技术真正的科学化,就要通过对数据进行收集和分析,采用这样的方式真正的到达让网络信息平安技术科学化的目的,
8、与此同时综合考量技术,切实的将网络信息平安存在的问题找到。有利于防御技术日益专业化,随着网络优化的不断开展,并且逐步的朝着自动化,还有智能化的方向上不断地开展和进步,由此就有了人工智能专家的出现,这就在一定程度打破了原有的思想,在对系统的支持上,通过智能决策的方式,能够对机制进行更为切实有效的运用,网络优化人员在针对网络中存在的一些平安隐患,可以给出相对应的解决措施,让网络当中存在的一些平安隐患问题,及时的得到了科学的解决,这也证明了网络信息平安防御技术变得越来越专业化起来。有利于形成一个专门产业链,伴随着信息产业日新月异的开展,以及和其他产业的密切融合,这也让网络平安技术有了非常大的变化。网
9、络平安技术正在逐步朝着生态环境的方向进行转变。伴随着产业链变得逐渐复杂起来,造成计算机网络产业要朝着生态环境的方向不断的转变。任何一个环节在生态环境中都能够被取代。(二)国内外研究综述1.国外研究据Gartner分析,当前国际大型企业在信息平安领域主要有几个开展趋势:(1) 信息平安投资从根底架构向应用系统转移;(2)信息平安的重心从技术向管理转移;(3)信息平安管理与企业风险管理、内控体系建设的结合日益紧密;(4)信息技术逐步向信息平安管理渗透。结合大型企业信息平安开展趋势,国际各大咨询公司、厂商等机构纷纷提出了符合大型企业业务和信息化开展需要的信息平安体系架构模型,着力建立全面的企业信息平
10、安体系架构,使企业的信息平安保护模式从较为单一的保护模式开展成为系统、全面的保护模式。信息平安在国外已经上升到了国家战略层次,国外的信息平安总体开展领先于国内,特别是欧美,研究国外的信息平安现状有助于我国的信息平安规划。国外的主流的信息平安体系框架较多,都有其适用范围和缺点,并不完全符合我国现状,可选取框架的先进理念和组成局部为我国所用,如IATF的纵深防御理念和分层分区理念、ISO27000的信息平安管理模型、IBM的平安治理模块等。2.国内研究在信息平安标准方面,我国已发布了信息技术平安技术公钥根底设施在线证书状态协议、信息技术平安技术公钥根底设施证书管理协议等几十项重要的国家信息平安根底
11、标准,初步形成了包括根底标准、技术标准、管理标准和测评标准在内的信息平安标准体系框架。国内的平安标准组织主要有信息技术平安标准化技术委员会(CITS)、中国通信标准化协会(CCSA)下辖的网络与信息平安技术工作委员会、公安部信息系统平安标准化技术委员会、国家保密局、国家密码管理委员会等部门。国内的平安标准组织主要有信息技术平安标准化技术委员会(CITS)、中国通信标准化协会(CCSA)下辖的网络与信息平安技术工作委员会、公安部信息系统平安标准化技术委员会、国家保密局、国家密码管理委员会等部门。二、企业信息平安管理现状现在企业内部一般都构建了专用网络来进行信息的共享,如建设公司内网。在同一个局域
12、网内可进行文件的传输和接收,或者通过连接效劳器的方式来存储和共享信息,提高了不同部门间的信息传递效率。在享受网络带来的便利时,却有很多企业忽略了信息平安的问题,企业信息平安现状如下。(1)缺乏企业信息平安保障体系。有的中小企业缺乏信息平安意识,对效劳器等设施甚至未曾设置防火墙,导致企业内部的信息易遭受外界的攻击,造成企业信息被窃取或被篡改,更为严重的可能导致企业网络瘫痪以及硬件设备、传输设施无法使用的情况。客户信息和商业机密假设被窃取,不仅会影响企业的竞争力,同时会降低客户的信任和好感,造成巨大的经济损失。(2)邮件系统平安缺乏保障。有的企业主要通过电子邮件来开展工作,如通过邮件与客户沟通及开
13、展内部管理工作。电子邮件的使用方便快捷,能够在网络中留下记录,随时随地都可查看,遇到分歧和冲突时,还能在电子邮件中找到相应凭证。但是电子邮件的平安状况也令人堪忧,如垃圾邮件轰炸、电子邮件病毒等,给企业的正常运转和办公造成很大阻碍,假设邮件账号与密码被窃取,将成为企业的重大平安隐患。(3)缺乏检查漏洞的有效方法和能力。一般计算机操作系统会进行自动更新和漏洞检测,但局部员工会因其消耗时间长且较繁琐而将其关闭,或者在更新过程中中断,造成计算机自身平安机制出现漏洞,外界不法分子可通过攻击TCP/IP协议窃取或篡改企业信息。有的在不正规网站下载的软件可能自身存在漏洞,易受到外界攻击,从而导致企业信息平安
14、受到威胁。(4)效劳器或者客户端受到外部网络攻击。在工作中难免会需要通过浏览器等形式进行网上检索,而在这个过程中,企业的客户端需要获取外部网络信息,可能受到网络攻击。或者不法分子直接攻击企业的效劳器,窃取信息、篡改内容等。综上所述,企业的信息平安随时都可能受到威胁。当前企业在信息平安管理中普遍面临的问题:(1)缺乏来自法律标准的推动力和约束;(2)平安管理缺乏系统管理的思想。被动应付多于主动防御,没有做前期的预防,而是出现问题才去想补救的方法,不是建立在风险评估根底上的动态的持续改进的管理方法;(3)重视平安技术,无视平安管理。企业愿意在防火墙等平安技术上投资,而相应的管理水平、手段没有表达,
15、包括管理的技术和流程,以及员工的管理;(4)在平安管理中不够重视人的因素;(5)缺乏懂得管理的信息平安技术人员;(6)企业平安意识不强,员工接受的教育和培训不够。三、企业信息平安管理存在的问题及原因分析(一)存在问题1.企业信息平安意识淡薄很多中小型企业对于信息平安缺乏认识,更多注重信息化建设带来的经济效益,即便了解了信息平安的意义,也可能怀着侥幸心理觉得自己的企业不会被攻击,如果不发生重大信息平安事故估计不会花费人力与物力。大企业相对来说企业结构更加完善,能够意识到信息平安的意义和作用,但真正为之付出大量精力和金钱的公司不多。由于企业对于信息平安不够重视,自然不会组建专门的团队来进行信息平安
16、的管理,因此,信息平安相关专业的人才在国内很难找到专业对口的工作,那么他们可能选择出国或者换专业,这就造成了恶性循环,国内的信息平安人才稀缺,国内企业信息平安相关岗位招不到人。2.信息平安技术不够先进近年来,中国互联网开展迅速,计算机技术也在不断进步,但总体计算机技术的水平相比兴旺国家还是有一定差距,信息平安的研究也比兴旺国家起步得晚,虽然现在国内已有专门信息平安、网络平安的公司,但其技术水平和研发出的软件质量和数量相比兴旺国家还是有缺乏。很多企业内部没有一套较为完整的信息平安防护系统,使得不法分子攻击起来较容易。3.企业信息平安相关法律法规不够完善一直以来,网络平安都没有得到很好管控。虽然出台了少量法律法规,但是见效甚微。企业信息平安方面的法律法规更少。无法用法律来保护企业信息平安,使得企业建设信息平安体系的信心下降。(二)原因分析1.需要提升企业信息平安意识提升企业信息平安意识包括提升企业管理者和企业员工的意识。企业管理者在企业信息平安建设中是引路人的角色,在之后的企业信息平安管理工作中
